- 更新日 : 2024年7月16日
シャドーITとは?該当するものや原因・リスク・企業の対策をわかりやすく解説
シャドーITとは、企業内での利用が認められていないITサービスやIT機器を無断で使用することです。これらのサービスやIT機器は適切に管理されない傾向にあり、セキュリティ上のリスクになることがあります。シャドーITの利用で想定されるリスクや、企業側が実施すべき対策をまとめました。また、インシデントの具体例も紹介します。
目次
シャドーITとは?
シャドーITとは、企業内での利用が許可されていないITサービスやIT機器を無断使用することです。これらのITサービスやIT機器は適切に管理されない傾向にあるため、セキュリティ上のリスクになることも少なくありません。
たとえば、社内で利用するチャットサービスではなく別のチャットサービスで社員と連絡を取ること、企業で支給されたもの以外のスマートフォンを社内で使用することなどは、シャドーITの行為といえます。後述しますが、シャドーITによってセキュリティリスクが引き起こされることもあり、決して推奨される行為とはいえません。
内部統制は、企業経営において重要な役割を果たしています。まずリスク管理の面では、企業が直面する様々なリスクを特定し適切に管理することで、業務の効率化や不正行為の防止に貢献します。また法令遵守の観点からも、内部統制は企業が法律や規制を守るための基盤となり、法的リスクを軽減し企業の信頼性向上につながるものです。
一方でIT統制は、企業の重要なデータを保護する仕組みとして機能し、データの漏洩や不正アクセスを防止します。情報セキュリティに関する法令や規制を遵守するための基盤を提供することで、法的リスクを軽減し、企業の信頼性向上に寄与します。
こういった理由から、シャドーITへの対策を講じることが求められています。具体的には、ITポリシーを策定して全社員に周知を徹底したり、すべてのITリソースを一元管理し、使用状況を監視したりなどの取り組みです。
なお、IT統制に関しては下記の記事で解説しているので、ぜひあわせてご覧ください。
シャドーITとBYODの違い
BYOD(Bring Your Own Device)とは、個人のIT機器を業務において使用することです。企業側がIT機器を支給せず、個々のIT機器を使うように指示している場合を指します。
通常、会社はシャドーITまで管理することはできませんが、BYODの場合は個人デバイスであっても管理が可能です。そのため、会社でデバイスを支給せずに個人の所有物を利用する場合、BYODはセキュリティ対策として有効と言えます。ただし、BYODにおいても個人がルールを守らなければセキュリティリスクに関わるので、教育を徹底するなど注意が必要です。
シャドーITに該当するもの
「便利だから」「つい習慣で……」などの理由から、企業で許可を得ていないIT機器やITサービスを業務で使用することがあるかもしれません。よくあるシャドーITの例としては、次のものが挙げられます。
- 私用デバイス
- メッセージアプリ
- フリーメール
- オンラインストレージサービス
- クラウドサービス
それぞれを利用するケースについて見ていきましょう。
私用デバイス
社員個々に据付のパソコンが支給されている場合、社内での業務には使用できても、出先や移動中には使えません。ちょっとしたスキマ時間に私用のスマートフォンやタブレットを取り出し、書類作成や報告書提出などの業務の続きを行うことがあるかもしれません。
メッセージアプリ
企業で指定されているメッセージアプリやチャットサービスではなく、個人的に利用しているメッセージアプリなどで業務連絡を取り合うことがあります。社内指定のサービスが使いにくいときや、プライベートでも連絡をしている相手に対しては、つい指定外のサービスを使ってしまうかもしれません。
フリーメール
企業から支給されたメールアドレスを使わず、個人的に利用しているフリーメールでデータを送信することもあるかもしれません。たとえば、業務中のファイルをフリーメールを使って自分宛てに送り、自宅で作業をするケースが想定されます。
オンラインストレージサービス
私的に利用しているオンラインストレージサービスに業務中のファイルを預け、自宅で作業をするケースも想定されます。手間をかけずに一時的に保存できる点は便利ですが、権限設定によっては情報漏えいのリスクがあります。
クラウドサービス
ストレージサービス以外にも、さまざまなクラウドサービスがあります。たとえば、企業の許可を得ずに、一致率や誤字脱字をチェックするクラウドサービスを利用して業務を遂行するケースも想定されるでしょう。
シャドーITは何が問題か?
シャドーITの問題点はさまざまです。非承認のシステムはセキュリティ対策が不十分な場合が多く、外部からの攻撃に脆弱となり、企業全体のセキュリティリスクを高めます。そのため、データ漏洩や不正アクセスといったインシデント発生のリスクも高まります。
また、企業が把握していないIT機器類やクラウドサービスなどを利用することによって情報漏洩の原因を把握することが遅れたりし、対応が遅れ、被害が拡大しやすくなります。IT部門による管理が及ばないため、ITシステム全体の統制が難しくなり、ガバナンスが弱体化します。
シャドーITが発生する原因
トラブルやリスク回避のためにも、企業で使用を許可されたIT機器・ITサービス以外を業務に使用するのは望ましいことではありません。
しかし、次のような原因により、シャドーITが発生しやすくなることがあります。
- 業務に必要なIT機器・ITサービスが提供されていない
- 企業から支給されているIT機器や使用を許可されているITサービスが使いにくい
- 社員個々のセキュリティ意識が低い
- 社外での業務に対応したIT機器・ITサービスが提供されていない
後述しますが、シャドーITはセキュリティリスクを生む可能性があります。上記の原因に該当する要素があるときは、早期改善が必要です。
シャドーITに潜むセキュリティリスク
シャドーITにより、以下のセキュリティリスクが発生しやすくなります。
- 情報漏えい
- メール誤送信
- 不正アクセス
- マルウェア・ウイルス等への感染
- データ損失
それぞれのリスクについて見ていきましょう。
情報漏えい
使用を許可されていないクラウドサービスやオンラインストレージサービスに機密情報をアップロードすると、外部から情報にアクセスできる状態が生まれ、情報漏えいにつながることがあります。また、メッセージアプリやフリーメールに業務関連のファイルを添付するケースや、すでに退職した人がメッセージアプリや社内メールのグループに残っているケースでも、情報が漏えいすることがあります。
メール誤送信
メールに機密情報を添付して間違ったアドレスに送信することで、情報漏えいにつながることがあります。また、メールに直接機密情報を添付していない場合でも、送受信を何度か繰り返した状態で誤送信すると、過去に添付したファイルが閲覧できる状態になるため注意しましょう。
不正アクセス
出先や移動中に個人のスマートフォンでテザリングをして、業務用のパソコンやタブレットを使用することがあるかもしれません。テザリングしたネットワークが不正アクセスされ、業務用パソコンや企業全体のネットワークがサイバー攻撃されることもあるため、注意が必要です。また、フリーWi-Fiで業務用のIT機器を利用したときにも、同様のリスクが想定されます。
マルウェア・ウイルス等への感染
企業が使用を許可していないインターネット通信を利用することで、マルウェアやウイルスに感染するケースもあります。また、ウイルス感染したメールを開封すること、なりすましで社内チャットサービスを利用しているユーザーとコンタクトを取ることでも、感染リスクは高まります。
データ損失
業務用に指定されていないチャットサービスやメールを使ってデータを送受信する場合、何らかの事情でデータを損失しても探せなくなることがあります。誤ってデータを削除する場合に備えるためにも、指定されたITサービスを使って業務上のやり取りを行うことが大切です。
シャドーITのインシデント事例
シャドーITにより深刻なトラブルを招くこともあります。場合によっては、企業の信頼性を著しく損なうこともあるかもしれません。いくつか事例を紹介します。
不正アクセスによる顧客情報の漏えい
株式会社オージス総研では、サーバー内に社内や委託先事業者により作成されていない不審なファイルが見つかったことから、悪意のある第三者による不正アクセスが起こったと判断しました。直ちに調査を開始したところ、悪意のある第三者によって特定の顧客情報の持ち出しが行われていることが判明しました。
他の顧客情報や一時預かりサービスについては、被害がなかったと発表されています。また、原因としては、サーバーに一部脆弱性があり、外部からサーバーにアクセスできる状態にあったことが挙げられています。
参考:「宅ふぁいる便」サービスにおける不正アクセスについて ~お客さま情報の漏洩について(お詫びとご報告)~|株式会社オージス総研
クラウドサーバー経由の患者情報漏えい
岡山大学病院の医師が個人的に使用していたクラウドサービスのIDとパスワードが、フィッシング詐欺により窃取されました。この事件により、医師個人が当該クラウドサービス上で管理していた保存データへはアクセスができなくなっています。
保存データには、大学病院側で禁じていた患者の個人情報関連のファイルが含まれており、攻撃者側にとって閲覧可能な状態になりました。情報の悪用は確認されていませんが、今後、悪用される可能性や、個人情報を通じて大学の基幹システムや他の電子カルテへの不正アクセスが起こる可能性が指摘されています。
参考:フィッシング詐欺による患者情報漏洩インシデントの発生について|岡山大学病院
シャドーITへの企業の対策
シャドーITが起こらない環境を構築するためにも、企業は次の対策を実施できます。
- 利用状況を把握する
- ガイドラインを定める
- 社員教育を行う
- シャドーITを検知する仕組みを作る
各対策を解説します。
利用状況を把握する
まずは社員のIT機器やITサービスの利用状況を把握します。業務遂行においてどのような機器・サービスを利用しているのか、社内だけでなく出先、自宅なども含めてチェックしましょう。なお、個人を特定する必要はないため、無記名のアンケート調査などが適切です。
ガイドラインを定める
利用状況の結果を踏まえ、ガイドラインを定めます。たとえば、個人のスマートフォンで業務を遂行していることが多いのであれば、利用ルールを周知したうえで、業務用のスマートフォンを支給できるでしょう。また、社内で個人のデバイスを使うときは、社内Wi-Fiの利用を条件にできるかもしれません。
社員教育を行う
どのような行為がシャドーITに該当するのか、また、シャドーITを行うことでどのようなセキュリティリスクがあるのかについて社員教育を実施します。リスクについての理解が深まると、より安全に利用できるようになります。セキュリティリスクについての知識がある社員が講師となってセミナーを開催したり、社内教育を専門的に実施する社外サービスを利用したりできるでしょう。
社員が使いやすいデバイスやサービスを用意する
社員が使いやすいデバイスやサービスを用意することは、シャドーIT対策として有効です。社員が簡単に操作できるデバイスやサービスを提供することで、公式のITリソースを利用するハードルを下げます。
また、社員がどこからでも安全にアクセスできるようにリモートアクセスをサポートすることで、非公式なツールの使用を減らすことができます。
MDMの導入を検討する
MDM(Mobile Device Management)とは「モバイルデバイス管理」のことで、企業や組織が所有するスマートフォン、タブレットなどのモバイル端末を一元的に管理するためのシステムやソフトウェアのことです。
MDMを使用すると、企業はリモートでデバイスを管理し、必要に応じてデバイスをロックしたり、データを消去したりすることができます。これにより、紛失や盗難時のリスクが軽減します。またMDMを通じて、意図しないアプリケーションの利用を阻止するなど企業のセキュリティポリシーをすべてのデバイスに一貫して適用することが可能です。デバイスのセキュリティレベルを統一できるので、シャドーITのリスクを減少させます。
シャドーITを検知する仕組みを作る
シャドーITを実施しにくい仕組み作りも検討しましょう。たとえば、IT機器の持ち込みを制限する、社外Wi-Fiの利用を検知するなどにより、シャドーITを回避しやすくなります。
シャドーITを実施しにくい仕組みを構築しよう
意図的にシャドーITを実施することはなくても、社内のIT環境に問題がある場合や、社外で対応する業務が多い場合は、シャドーITが起こる可能性があります。シャドーITが起こると、社内のシステムや社内で管理している機密情報が危機的状況に晒されることもあり、場合によっては企業の信頼性を著しく損なう恐れもあります。
シャドーITが起こらないように監視体制を強化するだけでなく、実施しにくい仕組み作りも大切です。紹介した情報も参考に、シャドーITに対する危機意識を高めていきましょう。
この記事をお読みの方におすすめのガイド4選
最後に、この記事をお読みの方によく活用いただいている人気の資料・ガイドを紹介します。すべて無料ですので、ぜひお気軽にご活用ください。
IPO準備企業の管理部門効率化!
多くのIPO準備企業が、経理業務の内製化や業務の可視化、システムの最適活用に課題を抱えているのではないでしょうか。
本資料では、システム導入による管理部門の効率化と業務品質の向上方法、そしてシステム活用時に意識すべきポイントを詳しく紹介します。
IPO準備に不可欠な財務会計への移行ガイド
「税務会計から財務会計への移行を、どのように進めればいいのかわからない」とお悩みのIPO準備企業も多いのではないでしょうか。
本資料では、IPO準備を進める企業のCFOや経理担当者に向けて、税務会計と財務会計の基本的な違いから、財務会計へ移行すべき理由、移行を成功に導くための具体的なポイントまでを解説します。
やることリスト付き!内部統制構築ガイド
内部統制を基礎から知りたい方・内部統制の導入を検討している担当の方・形式だけになっている内部統制を見直したい方におすすめの人気ガイドです。
内部統制の基本と内部統制構築のポイントをギュッとまとめています。
マネーフォワード クラウド会計Plus サービス資料
マネーフォワード クラウド会計Plusは、IPO準備・中堅〜上場企業向けの業務効率化と内部統制強化を実現するクラウド会計ソフトです。
銀行やクレジットカード連携で取引データを自動取得、AIによる自動仕訳で会計業務を効率化。周辺システムと連携することで、二重入力や確認工数を削減します。また、仕訳承認機能やユーザーごとの権限・ログ管理機能を搭載しており、内部統制にも対応。SOC報告書も提供しています。
※ 掲載している情報は記事更新時点のものです。
※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。
関連記事
コーポレートガバナンス・コードとは?基本原則や特徴・改定ポイントを解説
2014年6月に政府は日本企業の稼ぐ力を取り戻すべく「日本再興戦略」を策定し、具体的施策のひとつとして「コーポレートガバナンス・コード」作成を掲げました。しかし、そもそもコーポレートガバナンスとは何かを理解しきれていない人も少なくありません…
詳しくみる金融商品取引法における内部統制システムとは?対象企業やメリットを説明
内部統制とひとことで言っても、金融商品取引法と会社法とで考え方や内容が異なります。同じ内部統制という言葉を使用していても、指すものが異なるため注意が必要です。 本記事では金融商品取引法についての内部統制について、内容を解説します。内部統制を…
詳しくみる内部統制とは?4つの目的や6つの基本的要素を分かりやすく解説
内部統制とは、企業が事業活動を健全かつ効率的に運営するための仕組みのことです。しかし、内部監査やコーポレートガバナンス、コンプライアンスなどと内容が似ているため、上手に説明できる人は少ないのではないでしょうか。 今回は、内部統制を行う4つの…
詳しくみる2023年4月に内部統制基準が改訂!見直しの背景や変更内容について解説
2023年4月に、内部統制の実施基準が改訂されました。 企業のリスク管理やガバナンス強化を目的としており、具体的な変更点や企業への影響は計り知れないものがあります。 本記事では、最新の改訂内容を解説し、企業がどのように対応すべきかを詳細に説…
詳しくみるISMSにおける可用性とは?具体例でわかりやすく解説|情報セキュリティの3要素
情報セキュリティというと、情報漏洩を防ぐ対策に目が行きがちですが、「使いたいときにきちんと使える」状態を維持することもビジネスを継続する上で重要です。この「使える状態」を確保することを、情報セキュリティの世界では「可用性(Availabil…
詳しくみる内部統制コンサルティングとは?活用のメリットやデメリット・選び方を説明
内部統制を進めたいものの社内でリソースを割くのが難しく、内部統制コンサルティングを利用したいと考えている人もいるでしょう。内部統制コンサルティングに関する正しい知識を知っておかないと、適切な判断ができず内部統制がなかなか進まない恐れがありま…
詳しくみる